Auditoria de Sistemas en Windows NT

Anuncio
Auditoría en Windows NT
INTRODUCCIÓN AL WINDOWS NT
Windows NT 4 es uno de los componentes de Microsoft Back Office, un grupo
de aplicaciones orientadas a la administración de negocios. Algunos de los
componentes de Back Office son:
•
•
•
•
•
•
Windows NT4 Server/Work station
Servidor Proxy
Base de datos SQL Server 7
Internet explorer 5
Office 2000
Service Pack 4 ó 5
El sistema operativo Windows NT4 viene a competir directamente con UNIX,
que hasta hoy es la mejor y mas estable solución para la mayoría de las
necesidades multiusuario y multiproceso.
Se presenta en dos versiones que son Workstation y Server, que aunque
ofrecen el mismo entorno gráfico de Windows 95, además proporcionan más
servicios de conexión con otras redes como NetWare, y herramientas para
trabajar con aplicaciones cliente/servidor distribuidas por toda una red.
También proporcionan servicios Web para el intercambio de información a
través de Intranets, y mucho más. Por supuesto que ofrecen un entorno de
trabajo más estable que Windows 95/98 ya que trabajan con un nuevo Kernel
creado por los desarrolladores del sistema operativo VMS de IBM.
Básicamente la diferencia entre las dos versiones de Windows NT4 es que la
versión Server cuenta con muchos más programas de servicios de red y
herramientas de administración. Todo esto se comenta con mas detalle dentro
de los capítulos siguientes.
Desafortunadamente Windows NT no es completamente plug and play, por lo
que la configuración de algunos componentes de hardware no es tan sencilla
como en Windows 95/98, pero esta situación quedará resuelta con la versión 5
de Windows NT. Mientras tanto aquí se encuentra información concisa y
práctica de la versión actual.
1. PLAN DE AUDITORIA.
Windows NT puede seguir actividades específicas de los usuarios auditando
sucesos de seguridad e incluyendo entradas en el registro de seguridad. Utilice
el Plan de auditoría para determinar los tipos de suceso de seguridad que
registrará.
Cuando se administren dominios, el Plan de auditoría afecta a los registros de
seguridad del controlador del dominio y de todos los servidores en el dominio,
ya que comparten el mismo plan de auditoría.
Ing. Miguel A. Paredes Loza
E-mail: [email protected]
Móvil: 591-71551006
1
Auditoría en Windows NT
Cuando se administra un equipo con Windows NT Workstation o a Windows NT
Server que no sea controlador de dominio, este plan solamente afecta al
registro de seguridad del equipo.
Debido a que el registro de seguridad tiene un tamaño limitado, elija
cuidadosamente los sucesos que desee auditar. El tamaño máximo del registro
de seguridad se define en el Visor de sucesos. Las entradas del registro de
seguridad se pueden examinar utilizando el Visor de sucesos.
1.1. Dominio.
Nombre del dominio o del equipo que se está administrando.
1.2. No auditar.
No se registrará ningún suceso en el registro de seguridad.
1.3. Auditar estos sucesos.
Se registrarán los sucesos seleccionados.
1.4. Correcto.
Si esta casilla de verificación está activada, se agregará una entrada en el
registro de seguridad cuando un suceso del tipo seleccionado se lleve a cabo
correctamente.
1.5. Erróneo.
Si esta casilla de verificación está activada, se agregará una entrada en el
registro de seguridad cuando un suceso del tipo seleccionado no se pueda
llevar a cabo o se haga incorrectamente.
1.6. Inicio y cierre de sesión.
Un usuario ha iniciado o cerrado una sesión o ha establecido una conexión de
red.
1.7. Acceso a archivos y objetos.
Un usuario ha tenido acceso a un directorio o archivo cuya auditoría se ha
establecido en el Administrador de archivos o a enviado un trabajo de
impresión a una impresora cuya auditoría se ha establecido en el Administrador
de impresión.
1.8. Uso de los derechos de usuario.
Un usuario ha utilizado un derecho, excluyendo los relacionados con el inicio y
cierre de sesión.
Ing. Miguel A. Paredes Loza
E-mail: [email protected]
Móvil: 591-71551006
2
Auditoría en Windows NT
1.9. Administración de usuarios y grupos.
Se ha creado, modificado o eliminado un grupo o cuenta de usuario Se ha
desactivado, activado o cambiado el nombre de una cuenta de usuario; o bien
se ha establecido o modificado una contraseña.
1.10. Cambios en el plan de seguridad.
Se ha modificado el plan de derechos de usuario o de auditoría.
1.11. Reinicio, apagado y sistema.
Un usuario ha reiniciado o apagado el sistema, o bien ha ocurrido un suceso
que afecta a la seguridad del sistema o al registro de seguridad.
1.12. Seguimiento de procesos.
Estos sucesos proporcionan información de seguimiento detallada acerca de
sucesos como activación de programas, algunas formas de duplicación de
identificadores, acceso indirecto a objetos y salida de procesos.
2. PARA ADMINISTRAR EL PLAN DE AUDITORIA.
a.) Elija Auditoría en el menú Directivas.
b.) Para grabar sucesos en el registro de seguridad, seleccione Auditar
estos sucesos. O para no registrar ningún suceso en el registro de
seguridad, seleccione No auditar.
c.) Si ha seleccionado Auditar estos sucesos, especifique los sucesos que
deberán auditarse, activando o desactivando las casillas Correcto y
Erróneo para cada tipo de suceso.
2.1. Notas y sugerencias.
Cuando administra dominios, el Plan de auditoría afecta a la seguridad de los
inicios de sesión de todos los controladores del dominio por que comparten el
mismo Plan de auditoría.
Cuando administra un equipo que ejecuta Windows NT Workstation o
Windows NT Server que no es un dominio, el Plan de auditoría solamente
afecta a la seguridad del inicio de sesión en ese equipo.
Puede revisar las entradas de un registro de seguridad usando el Visor de
sucesos.
Debido a que el registro de seguridad tiene un tamaño limitado, seleccione con
cuidado los sucesos que quiere registrar. El tamaño máximo del registro de
seguridad en cada equipo viene definido en el Visor de sucesos.
Ing. Miguel A. Paredes Loza
E-mail: [email protected]
Móvil: 591-71551006
3
Auditoría en Windows NT
3. VISOR DE SUCESOS.
3.1. Introducción al Visor de sucesos.
El Visor de sucesos es la herramienta que puede utilizar para controlar los
sucesos del sistema. Con el Visor de sucesos puede examinar y administrar
registros de sucesos de Sistema, de Seguridad y de Aplicación. También
puede archivar registros de sucesos.
El servicio de registro de sucesos se inicia automáticamente al ejecutar
Windows NT. Puede detenerlo con la herramienta Servicios del Panel de
control.
3.1.1. Origen.
Software que ha registrado el suceso. Puede tratarse de una aplicación o de un
componente del sistema, por ejemplo un controlador.
3.1.2. Usuario.
Texto específico que coincide exactamente con el del campo Usuario. Este
campo no distingue entre mayúsculas y minúsculas.
3.1.3. Categoría.
Clasificación del suceso, según lo define el origen.
Por ejemplo, las categorías de los registros de sucesos de seguridad son Inicio
y cierre de sesión, Cambio de plan, Uso de privilegios, Suceso de sistema,
Acceso a objetos, Seguimiento detallado y Administración de cuentas.
3.1.4. Equipo.
El nombre exacto del equipo en el que se ha producido el suceso registrado.
Este campo no distingue entre mayúsculas y minúsculas.
3.1.5. Identificador.
Muestra un número que identifica un suceso específico.
El Identificador ayuda a los técnicos de soporte de producto a hacer un
seguimiento de los sucesos del sistema.
3.1.6. Tipo.
Clasificación del suceso por parte del sistema operativo Windows NT dentro de
categorías como Error, Advertencia, Información, Acceso correcto auditado o
Acceso erróneo auditado.
Ing. Miguel A. Paredes Loza
E-mail: [email protected]
Móvil: 591-71551006
4
Auditoría en Windows NT
3.2. Registros.
3.2.1. Sistema.
El Registro de sistema almacena los sucesos que registran los componentes
del sistema Windows NT. Por ejemplo, un fallo al cargar un controlador de
dispositivo u otro componente del sistema durante el inicio del equipo se
registra en el Registro de sistema.
3.2.2. Seguridad.
El Registro de seguridad almacena los sucesos relacionados con la seguridad.
Esto es útil para hacer un seguimiento de los cambios en el sistema de
seguridad y detectar cualquier posible fallo en él. Por ejemplo, los intentos de
iniciar una sesión en el sistema pueden almacenarse en el Registro de
seguridad, dependiendo de la configuración de Auditoría en el Administrador de
usuarios.
Solamente es posible examinar el Registro de seguridad si usted es
Administrador del equipo.
3.2.3. Aplicación.
El Registro de aplicación almacena los sucesos que registran las aplicaciones.
Por ejemplo, una aplicación de bases de datos puede agregar al Registro de
Aplicación un error de archivo.
3.3. Suceso.
En el sistema operativo Windows NT, un suceso es cualquier acontecimiento
significativo del sistema o de una aplicación que requiera una notificación al
usuario. En el caso de suces os críticos, como por ejemplo un servidor lleno o
una interrupción de la alimentación eléctrica, puede ser que aparezca un
mensaje en la pantalla. En el caso de muchos otros sucesos que no requieren
atención inmediata, el sistema operativo Windows NT agrega información a un
archivo de registro de sucesos sin interferir en el trabajo habitual de los
usuarios. Este servicio de registro de sucesos comienza automáticamente cada
vez que se inicia el equipo con Windows NT.
3.3.1. Origen.
Software que ha registrado el suceso. Puede tratarse de una aplicación o de un
componente del sistema, por ejemplo un controlador.
3.3.2. Categoría.
Clasificación del suceso, según lo define el origen.
Por ejemplo, las categorías de los registros de sucesos de seguridad son Inicio
y cierre de sesión, Cambio de plan, Uso de privilegios, Suceso de sistema,
Acceso a objetos, Seguimiento detallado y Administración de cuentas.
Ing. Miguel A. Paredes Loza
E-mail: [email protected]
Móvil: 591-71551006
5
Auditoría en Windows NT
3.3.3. Identificador.
Muestra un número que identifica un suceso específico.
El Identificador ayuda a los técnicos de soporte de producto a hacer un
seguimiento de los sucesos del sistema.
3.3.4. Equipo.
El nombre exacto del equipo en el que se ha producido el suceso registrado.
Este campo no distingue entre mayúsculas y minúsculas.
3.3.5. Usuario.
Texto específico que coincide exactamente con el del campo Usuario. Este
campo no distingue entre mayúsculas y minúsculas.
3.3.6. Descripción
Texto que describe el suceso, creado por la causa u origen del propio suceso.
Puede elegir Buscar para localizar sucesos específicos indicando cualquier
fragmento de su descripción. La descripción también se guarda en todos los
registros archivados.
3.4. Configurar registros de sucesos
Puede utilizar el cuadro de diálogo Configurar registros de sucesos para definir
el tamaño máximo del registro y las medidas que debe tomar Windows NT
cuando un registro de sucesos está lleno.
3.4.1. Cambiar configuración del registro
Se utiliza para seleccionar el tipo de registro cuya configuración desea cambiar:
Sucesos de sistema, Sucesos de seguridad o Sucesos de aplicación.
3.4.2. Máximo tamaño de registro
Se utiliza para especificar el tamaño máximo del archivo de registro. El tamaño
máximo predeterminado es 512 KB.
Para cambiar el tamaño máximo, haga clic en las flechas hacia arriba o hacia
abajo.
3.4.3. Sobrescribir sucesos cuando sea necesario.
Cuando esta opción está seleccionada, todos los sucesos nuevos se escriben
en el registro, incluso cuando el registro está lleno. En este caso, cada nuevo
suceso reemplazará al más antiguo.
Sugerencia: Esta opción es la mejor por su facilidad de mantenimiento y es la
predeterminada.
Ing. Miguel A. Paredes Loza
6
E-mail: [email protected]
Móvil: 591-71551006
Auditoría en Windows NT
3.4.4. Sobrescribir sucesos con más de [ ] días.
Cuando esta opción está seleccionada, cada registro se mantiene durante un
número de días determinado antes de sobrescribirse. Es posible especificar el
número de días que deben transcurrir para que un registro se sobrescriba
indicando un número entre 1 y 365.
Sugerencia: El valor predeterminado de esta opción es 7 días. Este valor es el
más adecuado si desea archivar los registros semanalmente.
3.4.5. No sobrescribir sucesos (borrado manual).
Cuando está seleccionada, esta opción conserva todos los sucesos existentes
cuando el registro está lleno.
Esta opción requiere que usted borre manualmente el registro. Elíjala
solamente si tiene que conservar todos los sucesos.
3.4.6. Predeterminada.
Restablece todas las opciones predeterminadas del registro seleccionado.
3.5. Qué hacer cuando un registro de sucesos está lleno
Para liberar un registro lleno (en el que no pueden registrarse más sucesos),
elija Borrar todos los sucesos en el menú Registro.
También puede liberar el registro reduciendo el intervalo de conservación en el
cuadro de diálogo Configurar registros de sucesos.
Nota: No es posible continuar registrando sucesos aumentando el tamaño
máximo del registro. Para aumentar el tamaño del registro, primero hay que
borrarlo, luego incrementar el tamaño en el cuadro de diálogo Configurar
registros de sucesos y después reiniciar el sistema.
BIBLIOGRAFÍA
SHELDOM, Tom, "Manual
Osborne/McGraw – Hill
de
Seguridad
de
Windows
NT",
1997,
WYATT, Allen, "Aprendiendo Windows NT Server 4", 1997, Prentice Hall
Hispanoamericana
Ing. Miguel A. Paredes Loza
E-mail: [email protected]
Móvil: 591-71551006
7
Descargar